Jika menurut Anda situs Anda aman karena tidak menarik bagi peretas, Anda salah, karena sebagian besar pelanggaran keamanan tidak ditujukan untuk mencuri data atau menodai situs Anda.
Peretas biasanya ingin menggunakan server Anda sebagai relai untuk email spam, atau untuk menyiapkan server web sementara, biasanya untuk menyajikan file ilegal. Jika Anda diretas, bersiaplah untuk mengeluarkan uang tunai untuk biaya terkait server.
Ada beberapa cara berbeda untuk memperkuat keamanan situs Anda atau jaringan multisite, tetapi salah satu cara termudah adalah dengan mengedit file Anda. wp-config.php. Memperbarui file konfigurasi ini, meskipun tidak ada solusi satu ukuran untuk semua, merupakan kebijakan yang harus diikuti untuk keamanan keseluruhan.
Dengan mengingat hal itu, kami akan menjelajahi berbagai modifikasi yang dapat Anda lakukan untuk mengamankan blog WordPress.
Mengkonfigurasi WordPress Konstanta
Di file konfigurasi WordPress Anda, juga disebut wp-config.php , Anda dapat menentukan apa yang disebut konstanta PHP untuk melakukan tugas tertentu. WordPress memiliki banyak konstanta yang dapat Anda gunakan.
Konstanta juga dibungkus dalam fungsi definisikan()
seperti yang ditunjukkan dalam contoh sintaks ini:
define ('NOM_DE_LA_CONSTANTE', nilai);
Di WordPress, file wp-config.php dimuat sebelum sisa file yang membentuk kernel. Artinya jika Anda mengubah nilai konstanta in wp-config.php, Anda dapat mengubah cara WordPress bereaksi dan bekerja. Anda dapat menonaktifkan beberapa fitur atau menyalakannya dengan mengubah nilainya. Dalam banyak kasus, ini dapat dilakukan dengan mengubah true
untuk palsu, dan sebaliknya, misalnya.
Di bawah ini Anda akan menemukan berbagai konstanta serta jenis kode PHP lain yang dapat Anda gunakan dalam file Anda wp-config.php untuk meningkatkan keamanan Anda. Tempatkan semuanya di atas baris berikutnya dalam file Anda wp-config.php:
/ * Itu semua, berhenti editing! Senang blogging. * /
Perhatian: Hati-hati
Karena perubahan yang akan Anda buat dapat mengubah situs Anda secara dramatis, ini bagus ide untuk mencadangkannya. Jika terjadi kesalahan, Anda dapat dengan cepat memulihkan situs ke titik sebelum perubahan ini dan setelah situs berfungsi normal, Anda dapat mencoba lagi.
1. Ubah kunci keamanan Anda
Anda mungkin sudah mengetahui kunci keamanan yang berbeda dan Anda mungkin telah menambahkan kunci unik, yang merupakan hal yang cukup baik.
Kunci keamanan informasi mengenkripsi data yang disimpan dalam cookie dan mungkin berguna untuk mengubahnya, terutama setelah situs Anda diretas. Ini akan mengakhiri semua sesi terbuka pengguna yang masuk di situs Anda yang berarti peretas juga keluar.
Saat Anda mengatur ulang kata sandi dan memastikan situs Anda bebas dari eksploitasi pintu belakang dan sejenisnya.
Anda dapat menghasilkan set kunci keamanan baru menggunakan Generator Kunci Keamanan WordPress. Salin semua konten dan tempel untuk mengganti bagian yang terlihat seperti berikut:
mendefinisikan( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|' ); mendefinisikan( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj' ); mendefinisikan( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~&0s;{k0 (hdXW|5M=X={we4;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*2i' ); mendefinisikan( 'NONCE_SALT', 'a|#h{c7|P &xWs0IZ2c8&%883!c( /uG}W:mAvy
2. Paksa penggunaan SSL
Sertifikat SSL mengenkripsi koneksi antara situs Anda dan browser pengunjung Anda, sehingga peretas tidak dapat menyadap dan mencuri informasi pribadi. Jika Anda sudah menginstal sertifikat SSL maka Anda perlu memaksa WordPress untuk menggunakannya, ini dapat meningkatkan keamanan Anda.
Untuk memaksa penggunaan sertifikat SSL Anda selama koneksi, tambahkan baris ini:
define ('FORCE_SSL_LOGIN', true);
Anda juga dapat memaksa sertifikat SSL Anda di dasbor admin dengan baris ini:
define ('FORCE_SSL_ADMIN', benar);
Ini adalah poin yang sangat bagus untuk memulai, meskipun idealnya adalah menggunakan sertifikat SSL di semua situs web.
3. Ubah prefiks database
Awalan ditempatkan di depan nama semua tabel di database Anda. Secara default, tabel menggunakan awalan " wp_"
dan menambahkannya ke database Anda akan menambah tugas tambahan yang harus dilakukan peretas. Semakin banyak rintangan yang Anda tambahkan, semakin banyak pula blog Anda akan sulit untuk diretas.
Mengubah awalan default membantu dan yang harus Anda lakukan hanyalah mengubah konstanta pada file " wp-config.php ", tetapi tabel database dalam instalasi Anda juga perlu memiliki awalan baru yang sama. Anda bisa berubah wp_
untuk sesuatu seperti g628_.
Anda harus memilih sesuatu yang benar-benar tidak mudah ditebak.
4. Nonaktifkan pengeditan tema dan plugin
Di setiap instalasi WordPress, Anda dapat langsung mengedit plugin dan tema melalui dashboard. Jika seorang peretas dapat memperoleh akses ke dasbor Anda, mereka memiliki akses ke editor khusus ini di mana mereka kemudian dapat melakukan apa pun yang mereka inginkan dalam plugin dan file tema Anda seperti menambahkan malware, virus, atau spam.
5. Nonaktifkan debugging
Jika Anda pernah mengaktifkan debugging di situs Anda atau di jaringan, Anda mungkin melakukannya karena ini adalah alat yang hebat untuk pemecahan masalah, tetapi jangan lupa untuk menonaktifkannya setelah selesai. Membiarkan opsi ini diaktifkan dapat mengungkapkan informasi penting tentang situs Anda dan lokasi filenya kepada peretas kepada siapa saja yang mengunjungi situs Anda.
Untuk menonaktifkan mode debug, Anda dapat mengubah konstanta WP_DEBUG dari true ke false sebagai berikut:
define ('WP_DEBUG', salah);
6. Nonaktifkan error logging di WordPress
Jika Anda tidak dapat membuat perubahan sebelumnya karena Anda masih perlu men-debug situs Anda secara aktif, Anda masih dapat melindungi informasi penting situs Anda dengan mematikan kesalahan front-end dan mematikan pencatatan kesalahan.
Untuk menonaktifkan pelaporan kesalahan frontend, tambahkan baris ini sambil menjaga debugging Anda (WP_DEBUG) disetel ke true:
define ('WP_DEBUG_DISPLAY', salah);
7. Aktifkan pembaruan otomatis
Menjaga situs Anda tetap mutakhir dengan versi terbaru WordPress, serta plugin dan tema Anda, harus menjadi bagian penting dalam mengembangkan strategi keamanan. SejakPembaruan memberikan perbaikan keamanan untuk kerentanan yang diketahui, bukan memperbarui paparan blog Anda terhadap potensi risiko ini.
Mulai WordPress versi 3.7, perbaikan keamanan kecil secara otomatis diterapkan ke situs WordPress, tetapi versi dasar tidak. Namun, Anda dapat mengaktifkan pembaruan otomatis untuk semua versi baru dengan mengubah nilai konstanta untuk pembaruan otomatis:
define ('WP_AUTO_UPDATE_CORE', true);
Demikian juga, Anda dapat menambahkan baris berikut di bawah yang sebelumnya untuk mengaktifkan pembaruan otomatis untuk plugin:
add_filter ('auto_update_plugin', '__return_true');
Anda juga dapat mengikuti baris ini untuk memungkinkan pembaruan otomatis untuk tema:
add_filter ('auto_update_theme', '__return_true');
Itu saja untuk tutorial ini. Saya harap ini akan memungkinkan Anda untuk lebih mengamankan Anda blog WordPress.
Halo untuk semua tim,
BRAVO untuk situs Anda, yang tampaknya penuh dengan sumber daya dan sangat menarik: bila anggaran saya memungkinkan, saya tidak akan gagal untuk memanggil layanan Anda (saya benar-benar membutuhkannya…)!
Kelemahan kecil untuk artikel keamanan * Hervé *: kami cepat tersesat dalam penjelasannya, jika kami tidak terbiasa dengan php. [Selain itu, saat mengedit teks, mungkin bermanfaat untuk membaca ulang: beberapa kata telah dihilangkan - tetapi bukan kesalahan ejaan. ;-)))]
Terima kasih Ivan untuk pengembalian dan pengampunan atas kesalahannya.